Medidas e garantias de segurança

Data de vigência: 20 de agosto de 2020 

O significados dos termos em maiúsculas que não estejam definidos nestas Medidas de Segurança se encontram nos Termos de Serviço  ou no Adendo de Processamento de Dados.

Medidas de Segurança

O Squarespace implementa e mantém medidas de segurança técnicas e organizacionais para proteger os ativos e os dados da empresa e do cliente. O Squarespace tem uma equipe de segurança dedicada que orienta a implementação de controles, processos e procedimentos que regem a segurança do Squarespace e seus clientes. Essa equipe é responsável pelo desenvolvimento, implementação e manutenção de um programa de segurança da informação que deve:

  • Alinhar as atividades de segurança com as estratégias do Squarespace e apoiar os objetivos do Squarespace.

  • Potencializar a segurança para facilitar a integridade da confidencialidade, e a disponibilidade de dados e ativos.

  • Analisar ameaças identificadas ou potenciais ao Squarespace e seus clientes; e oferecer recomendações razoáveis de correção.

  • Monitorar ativamente os ambientes do Squarespace e utilizar as informações coletadas para melhorar continuamente nosso programa de segurança.

  • Dar suporte seguro ao desenvolvimento da infraestrutura, da plataforma e dos recursos. 

  • Executar periodicamente as operações internas de red teaming para confirmar a eficácia do controle e identificar áreas a melhorar.

  • Executar exercícios de modelagem de ameaças ao criar sistemas, componentes e plataformas novos ou materialmente modificados para confirmar a proteção e o manuseio adequados dos dados.

  • Gerenciar a segurança utilizando uma abordagem baseada em risco.

  • Implementar medidas projetadas para gerenciar os riscos e possíveis impactos em um nível aceitável.

  • Aproveitar as estruturas de segurança do setor quando relevante e possível.

  • Oferecer treinamento de segurança aos funcionários do Squarespace e disponibilizar mecanismos para que funcionários com dúvidas contatem diretamente a equipe de segurança.

Data center, provedores de nuvem e continuidade de negócios/recuperação de desastres

  • O Squarespace utiliza os principais provedores de serviços de nuvem e data center para abrigar nossa infraestrutura física e de nuvem.

  • Nossos provedores de serviços de data center e de nuvem utilizam vários equipamentos, técnicas e procedimentos de segurança projetados para controlar, monitorar e registrar o acesso às instalações.

  • O Squarespace aproveita data centers geograficamente separados e zonas de disponibilidade de provedores de serviços em nuvem para facilitar a disponibilidade e a continuidade da infraestrutura e dos serviços.

  • O Squarespace implementou soluções para proteger e mitigar os efeitos de ataques DDoS. 

  • Temos equipes dedicadas em várias regiões geográficas para dar suporte à nossa plataforma e à infraestrutura de apoio.

  • Os planos de recuperação de desastres de continuidade de negócios do Squarespace são testados periodicamente. Os resultados dos testes são usados para melhorar os planos quando necessário. 

Criptografia 

  • O Squarespace utiliza certificados SSL para criptografar dados em trânsito entre os usuários finais do site e os domínios dos clientes.  

  • O Squarespace tem HSTS (HTTP Strict Transport Security), que criptografa o conteúdo servido durante as sessões e permite que os sites dos clientes do Squarespace sejam acessados via HTTPS.

Segurança no Nível de Aplicativo

  • O Squarespace faz hash das senhas da conta do usuário.

  • A autenticação de dois fatores (2FA) está disponível na conta dos membros do Squarespace para adicionar uma camada de segurança.  

  • O Squarespace monitora, detecta e bloqueia ataques à nossa plataforma de aplicações web.

  • Os testes regulares de penetração são realizados na plataforma Squarespace pela equipe de segurança do Squarespace, bem como por terceiros. Os resultados são analisados e corrigidos (conforme apropriado) pelas nossas equipes de engenharia e segurança.

  • Oferecemos aos clientes a capacidade de personalizar a permissão do site.

Resposta a Incidentes

  • No caso de um problema relacionado à segurança da plataforma Squarespace, a equipe de segurança do Squarespace segue um processo formal de resposta a incidentes.  

  • O Squarespace analisa ameaças identificadas ou potenciais ao Squarespace e seus clientes e realiza ações relevantes quando necessário.

Acesso à Rede e às Dependências Físicas do Squarespace

  • O acesso às dependências físicas do Squarespace e à sua rede interna é restrita e monitorada.

Controle de Acesso a Sistemas

  • O acesso aos sistemas do Squarespace é limitado ao pessoal apropriado.

  • O Squarespace segue o princípio do menor privilégio.

  • A política de controle de acesso do Squarespace vale para os sistemas que o Squarespace gerencia e mantém.  A política de controle de acesso do Squarespace aborda processos de controle que incluem, entre outros:  

    • Provisionamento e desativação da conta 

    • Autenticação

    • Gerenciamento privilegiado de contas

    • Identificação do usuário

    • Registro e monitoramento do acesso

Gerenciamento de Risco de Segurança

Inteligência contra ameaças e avaliação de risco são componentes-chave do programa de segurança da informação do Squarespace. A conscientização e a compreensão das ameaças potenciais (e reais) orientam a seleção e a implementação de controles de segurança apropriados para mitigar os riscos. Potenciais ameaças à segurança são identificadas e avaliadas quanto à gravidade e ao risco de exploits. Se a redução de riscos for necessária, a equipe de segurança deve trabalhar com as partes interessadas e os proprietários do sistema para solucionar. Esses esforços serão testados para confirmar se as novas medidas e controles atingiram o objetivo pretendido. 

Salvaguardas

Política de solicitação de aplicação da lei

O Squarespace respeita os direitos dos clientes e dos correspondentes usuários finais. O Squarespace implementa uma robusta Política de Solicitação de Aplicação da Lei que visa a garantir que todas as solicitações governamentais e regulatórias e de aplicação da lei sejam válidas e feitas de acordo com o processo legal. O Squarespace não divulga nenhum dado a órgãos policiais, reguladores ou governamentais, a menos que exigido por lei; e contesta toda e qualquer solicitação irregular. Se o Squarespace receber uma requisição pelos Seus Dados Controlados (conforme definido no Adendo de Processamento de Dados do Squarespace) ou pelo PI do Provedor de Serviços (conforme definido nos Termos de Serviço do Squarespace), o Squarespace solicitará à agência ou o órgão regulatório ou governamental para que solicite esses dados diretamente ao cliente em questão. Se obrigado a divulgar ou a dar acesso dos dados a órgãos ou agências policiais, regulatórios ou governamentais, o Squarespace, a menos que proibido por lei, notificará o cliente em questão e dará a ele uma cópia da requisição, para que ele busque um mandado de proteção ou outro recurso, como a proibição que visa a preservar a confidencialidade da investigação policial, de acordo com o direito penal. 

Princípios do Escudo de Privacidade

O Squarespace, Inc. continua a seguir os princípios do Escudo de Privacidade sob as Estruturas do Escudo de Proteção da Privacidade UE-EUA e Suíça-EUA (coletivamente “Escudo de Privacidade”) em relação aos dados pessoais relevantes, visando a dar salvaguardas e outras proteções, mesmo que o Squarespace, Inc. não use mais o Escudo de Privacidade como base legal para transferir esses dados.